ATAQUES Y VULNERABILIDADES DNS

x Envenenamiento DNS (DNS cache poisoning)

Consiste en que el atacante explota una vulnerabilidad inherente en el protocolo DNS y el servidor vulnerado acepta información incorrecta que ha sido alterada con fines maliciosos. Al no comprobar si los mensajes provienen de una fuente autoritativa, el servidor almacena de forma local información incorrecta y la envía los usuarios a los que está dando servicio. El resultado es que el contenido de resoluciones DNS resulta siendo borrado o alterado, redirigiendo a los clientes a webs diferentes a las originales y estas pueden contener contenido malicioso, phising (sustituyendo las resoluciones de webs bancarias por IPs de hosts con webs que suplantan la identidad de ese banco, por

ejemplo)…

Una variante de este ataque es la de redirigir todas los dominios de los que un servidor es master/autoritativo, a un nuevo servidor DNS que es el que se encarga de dar la resolución alterada definitiva. Esta técnica es mucho más sencilla, ya que permite la redirección del tráfico sin tener que editar registro a registro. El problema que presenta es que también es más difícil que tenga éxito (no siempre podemos reencaminar el tráfico

DNS a otros servidores ya que puede haber elementos de red que nos lo impidan) y es más fácilmente detectable (sospechosamente todo el tráfico DNS se redirige a una única IP).

Otra variante es dar la respuesta a la consulta realizada antes de que el servidor DNS

auténtico la pueda dar, es lo que se llama “falsificación DNS” (DNS Forgery). Este ataque cada vez está más limitado ya que los servidores DNS escogen un puerto al azar en cada respuesta que dan y no por cada vez que arrancan. Toda esta información se puede consultar con mayor detalle en (HoneyNet, 2007) [7]

x Fast flux

Es una técnica que usa el DNS para ocultar la IP de orígenes maliciosos. Normalmente se montan redes de equipos comprometidos botnets a los que apuntan los registros DNS de un dominio determinado. Estas botnets sirven de proxy entre los clientes y los servidores donde se almacena el contenido infectado.

Los hosts proveen un enorme rango de direcciones a una entrada DNS concreta, teniendo así un Round Robin que alterna entre todos los equipos infectados botnet como dirección de registro (para esto tienen un TTL muy bajo).

Este engaño puede ser a uno o dos niveles (Single/Double-Flux) dependiendo de si el DNS que atiende las peticiones (registro NS) es uno diferente al de la dirección vulnerada o no.

Mediante este tipo de engaño los atacantes consiguen una estructura sencilla con la que poder obtener datos o infectar usuarios ya que tan sólo necesitan vulnerar el DNS y se ahorran una gran cantidad de coste en mantenimiento y disminuyen los riesgos (los hosts que hacen RR son botnets que no tienen por qué pertenecerles). Además se tiene la ventaja de que los hosts atacantes realmente son hosts infectados repartidos por multitudes de países y esto dificulta posibles investigaciones o complicaciones con las autoridades. También es mayor el nivel de infección (pueden llegar a formarse botnets de miles de hosts), la duración de la suplantación (se alarga el proceso de detección e identificación). Se pueden observar ejemplos prácticos en (HoneyNet, 2007) [7], de donde también se han extraído las siguientes imágenes:

Figura 12: Comparación del ataque Single/double Flux con respecto a solución DNS

Figura 13: Diferencia de resultados web con una red infectada con técnicas Fast-Flux

x Ataque de amplificación DNS

Es el nombre por el que es conocido un tipo de ataque de denegación de servicio (DDoS) que se basa en el uso de servidores DNS de acceso público para sobrecargar a la víctima con una inundación de respuestas de dicho servidor o servidores.

Consiste en que el atacante hace una consulta al servidor DNS que servirá de amplificador, pero se modifica el paquete (spoofing) para que la IP del solicitante sea otra diferente a la IP del atacante. Cuando el servidor DNS envía la respuesta la enviará entonces a la víctima, sirviendo de “proxy” y cumpliendo una doble función:

o El servidor DNS oculta (al menos parcialmente) la identidad del atacante

o Las respuestas del servidor DNS son de mayor tamaño que la consulta (de

hecho el atacante suele hacer una consulta del tipo ANY, que devuelve toda la información sobre la zona DNS es una sola respuesta), lo que amplifica (de ahí el nombre) el efecto del ataque.

Este tipo de ataque se suele basar en el uso de botnets y redes de hosts zombies infectados que hacen consultas masivas infectadas haciendo “spoofing” de la IP de origen.

Esto desencadena en que la inundación de la víctima se puede llegar a ser masiva con un esfuerzo muy pequeño.

Para mitigar este tipo de ataques se usa la técnica Response Rate Limit, en la que

se fija un contador máximo de consultas por unidad de tiempo, un tiempo de “baneo” de

consultas y una máscara de red a la que se aplica. Por ejemplo: “Si se reciben más de 20

consultas por segundo de una red de máscara /24, bloquea las respuestas durante 10

segundos a toda la subred”. Una buena configuración del parámetro RRL debe permitir bloquear no sólo al host que excede la tasa sino a toda su posible red botnet asociada.

3